Appliances der PowerProtect DP Serie und IDPA melden SHA1-veraltete Einstellung für SSH (QID 38909)
摘要: Sicherheitsscanner melden veraltete kryptografische SSH-Einstellungen QID 38909 für Appliances der PowerProtect Data Protection Serie oder Integration Data Protection Appliance (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Der SSH-RSA-Verschlüsselungsalgorithmus , der in Secure Shell (SSH) für die Authentifizierung verwendet wird, wurde von OpenSSH als veraltet deklariert. Die Einstellung von ssh-rsa ist in erster Linie auf Bedenken hinsichtlich seiner Sicherheit zurückzuführen. Mit zunehmender Rechenleistung ist es für Angreifer einfacher geworden, RSA-Schlüssel zu knacken, insbesondere solche, die mit kürzeren Schlüssellängen generiert wurden. Dies macht es weniger zuverlässig, wenn es darum geht, SSH-Verbindungen vor modernen Bedrohungen zu schützen.
Hinweis: Dieser Artikel bezieht sich nur auf Appliances der PowerProtect Data Protection Series oder IDPA-Version 2.7.6. Für frühere Versionen von IDPA wird ein Upgrade auf Version 2.7.6 empfohlen.
Bei IDPA Version 2.7.6 ist für die folgenden Komponenten der SSH-RSA-Verschlüsselungsalgorithmus in SSH standardmäßig aktiviert:
- Appliance Configuration Manager (ACM)
- Schutzsoftware (Avamar)
- Proxy für virtuelle Maschine (VM) (Avamar-Proxy)
- Datenschutzspeicher (Data Domain)
- Reporting und Analysen (DPA-App und -Datenspeicher)
- Suchen
- Integrierter Dell Remote Access Controller (iDRAC)
Verwenden Sie den folgenden Befehl, um zu überprüfen, ob das System von der ssh-rsa-Sicherheitslücke betroffen ist:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostoder die System-IP-Adresse, wenn eine Remote-Verifizierung erforderlich ist:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Wenn das System anfällig für ssh-rsa ist, antwortet es mit einem RSA-Schlüssel. Hier ist eine Beispielausgabe:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Wenn das System SSH-RSA deaktivieren würde, würde die Verhandlung fehlschlagen und die Kommunikation konnte nicht hergestellt werden. Hier ist eine Beispielausgabe:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Mit der folgenden Problemumgehung wird der SSH-RSA-Hostschlüssel für IDPA-bezogene Komponenten deaktiviert.
Für ACM, Avamar, Avamar Proxy, DPA und Suche:
1. Melden Sie sich bei der VM als Root an. Melden Sie sich für Avamar und Avamar Proxy zuerst als Administrator an und melden Sie sich dann mit su als root an.
2. Ändern Sie das Arbeitsverzeichnis zu /etc/ssh.
3. Erstellen Sie eine Sicherungskopie der vorhandenen Datei /etc/ssh/sshd_config
4. Ändern Sie /etc/ssh/sshd_config und lassen Sie nur "HostKey /etc/ssh/ssh_host_ecdsa_key" und "HostKey /etc/ssh/ssh_host_ed25519_key" in der Konfigurationsdatei für alle HostKey-Einstellungen zu:
Abbildung 1: Ein Beispiel zeigt, dass nur "HostKey /etc/ssh/ssh_host_ecdsa_key" und "HostKey /etc/ssh/ssh_host_ed25519_key" aktiv sind.
5. Testen Sie die Syntax der Datei /etc/ssh/sshd_config. Der folgende Befehl muss "0" ausgeben. Wenn dies nicht der Fall ist, korrigieren Sie alle Syntaxfehler in der Datei, bevor Sie fortfahren:
6. Starten Sie den sshd-Prozess neu:
7. Wenn der Hostschlüssel ssh-rsa deaktiviert ist, wird die Meldung "kein passender Hostschlüsseltyp gefunden" angezeigt, wenn SSH-RSA als Hostschlüssel verwendet wird:
Für Data Domain:
Für iDRAC:
1. Melden Sie sich bei der iDRAC RACADM-Befehlszeilenschnittstelle
2 an. Überprüfen Sie die vorhandene Einstellung für die SSH-Verschlüsselung mit dem folgenden Befehl:
3. Aktualisieren Sie die Einstellung für die SSH-Verschlüsselung mit dem folgenden Befehl:
4. Überprüfen Sie die Einstellung der SSH-Verschlüsselung erneut:
Hier ist ein Beispiel für die erwartete Ausgabe der oben genannten Befehle:
5. Überprüfen Sie, ob SSH-RSA als Hostschlüssel deaktiviert ist:
Für ACM, Avamar, Avamar Proxy, DPA und Suche:
1. Melden Sie sich bei der VM als Root an. Melden Sie sich für Avamar und Avamar Proxy zuerst als Administrator an und melden Sie sich dann mit su als root an.
2. Ändern Sie das Arbeitsverzeichnis zu /etc/ssh.
cd /etc/ssh
3. Erstellen Sie eine Sicherungskopie der vorhandenen Datei /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Ändern Sie /etc/ssh/sshd_config und lassen Sie nur "HostKey /etc/ssh/ssh_host_ecdsa_key" und "HostKey /etc/ssh/ssh_host_ed25519_key" in der Konfigurationsdatei für alle HostKey-Einstellungen zu:
Hinweis: Die Zeile beginnt mit einem Hashtag (#), der nicht wirksam wird, und das System betrachtet ihn nur als Kommentar.
Abbildung 1: Ein Beispiel zeigt, dass nur "HostKey /etc/ssh/ssh_host_ecdsa_key" und "HostKey /etc/ssh/ssh_host_ed25519_key" aktiv sind.
5. Testen Sie die Syntax der Datei /etc/ssh/sshd_config. Der folgende Befehl muss "0" ausgeben. Wenn dies nicht der Fall ist, korrigieren Sie alle Syntaxfehler in der Datei, bevor Sie fortfahren:
sshd -t |echo $? 0
6. Starten Sie den sshd-Prozess neu:
systemctl restart sshd
7. Wenn der Hostschlüssel ssh-rsa deaktiviert ist, wird die Meldung "kein passender Hostschlüsseltyp gefunden" angezeigt, wenn SSH-RSA als Hostschlüssel verwendet wird:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Für Data Domain:
Hinweis: Der Workaround erfordert IDPA- oder Data Domain-Support, da der Zugriff auf den DD OS BASH-Modus erforderlich ist.
Hinweis: An der sshd_config Datei vorgenommene Änderungen werden nach einem Neustart oder Upgrade nicht gespeichert. Diese Änderungen müssen erneut angewendet werden, bis die neuen DD OS-Versionen 8.0 oder 7.10.1.40 veröffentlicht werden, was eine dauerhafte Lösung bietet. Es gibt keine geschätzte Zeit für die Integration dieser DD OS-Versionen in IDPA.
Für iDRAC:
1. Melden Sie sich bei der iDRAC RACADM-Befehlszeilenschnittstelle
2 an. Überprüfen Sie die vorhandene Einstellung für die SSH-Verschlüsselung mit dem folgenden Befehl:
get idrac.sshcrypto.ciphers
3. Aktualisieren Sie die Einstellung für die SSH-Verschlüsselung mit dem folgenden Befehl:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Überprüfen Sie die Einstellung der SSH-Verschlüsselung erneut:
get idrac.sshcrypto.ciphers
Hier ist ein Beispiel für die erwartete Ausgabe der oben genannten Befehle:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Überprüfen Sie, ob SSH-RSA als Hostschlüssel deaktiviert ist:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Der vorherige bekannte Hostschlüssel ist ungültig:
Nach dem Deaktivieren des ssh-rsa-Hostschlüssels ist der zuvor gespeicherte RSA-Hostschlüssel in der SSH-known_hosts Datei nicht mehr gültig. Es kann ein Fehler ähnlich dem folgenden angezeigt werden:
Um die SSH-known_hosts Datei für einen bestimmten Host zu aktualisieren, kann der folgende Befehl verwendet werden:
Ein Beispiel wäre in etwa so:
SSH zu iDRAC mit dem Fehler "keine übereinstimmende Verschlüsselung gefunden":
Nach dem Aktualisieren der iDRAC-Verschlüsselungschiffren kann eine SSH-Verbindung von ACM oder einer anderen VM zum iDRAC die folgende Fehlermeldung erhalten. Die iDRAC-IP-Adresse lautet in diesem Beispiel 10.60.9.156:
Es gibt zwei Möglichkeiten, dieses Problem zu beheben.
Option 1:
Fügen Sie die Option "-c aes128-gcm@openssh.com" hinzu, wenn SSH eine Verbindung zum iDRAC herstellt.
Zum Beispiel:
Option 2:
Ändern Sie /etc/ssh/ssh_config so, dass Chiffren aes128-gcm@openssh.com und aes256-gcm@openssh.com enthalten sind.
1. Melden Sie sich bei der VM als Root an. Melden Sie sich für Avamar und Avamar Proxy zuerst als Administrator an und melden Sie sich dann mit su als root an.
2. Ändern Sie das Arbeitsverzeichnis in /etc/ssh.
3. Erstellen Sie eine Sicherungskopie der vorhandenen Datei /etc/ssh/ssh_config.
4. Ändern Sie die /etc/ssh/ssh_config so, dass Chiffren aes128-gcm@openssh.com und aes256-gcm@openssh.com enthalten sind.
Von:
Abbildung 2: Die Standard-Verschlüsselungseinstellung in /etc/ssh/ssh_config
zu:
Abbildung 3: Neue Verschlüsselungseinstellung in /etc/ssh/ssh_config
Nach dem Update von /etc/ssh/ssh_config, um die Chiffren aes128-gcm@openssh.com und aes256-gcm@openssh.com einzuschließen, sollte die Meldung "keine übereinstimmende Verschlüsselung gefunden" behoben sein.
Für den Fall, dass ein Windows-basierter SSH-Client die Fehlermeldung "no matching cipher found" erhält:
Abbildung 4: Der Fehler "keine übereinstimmende Verschlüsselung gefunden" wurde in einem Windows-basierten SSH-Client
empfangen Die PuTTY-Version 0.81 wurde ohne dieses Problem getestet.
Abbildung 5: PuTTY 0.81 kann für den Zugriff auf den iDRAC von Windows aus verwendet werden.
Nach dem Deaktivieren des ssh-rsa-Hostschlüssels ist der zuvor gespeicherte RSA-Hostschlüssel in der SSH-known_hosts Datei nicht mehr gültig. Es kann ein Fehler ähnlich dem folgenden angezeigt werden:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Um die SSH-known_hosts Datei für einen bestimmten Host zu aktualisieren, kann der folgende Befehl verwendet werden:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Ein Beispiel wäre in etwa so:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH zu iDRAC mit dem Fehler "keine übereinstimmende Verschlüsselung gefunden":
Nach dem Aktualisieren der iDRAC-Verschlüsselungschiffren kann eine SSH-Verbindung von ACM oder einer anderen VM zum iDRAC die folgende Fehlermeldung erhalten. Die iDRAC-IP-Adresse lautet in diesem Beispiel 10.60.9.156:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Es gibt zwei Möglichkeiten, dieses Problem zu beheben.
Option 1:
Fügen Sie die Option "-c aes128-gcm@openssh.com" hinzu, wenn SSH eine Verbindung zum iDRAC herstellt.
Zum Beispiel:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Option 2:
Ändern Sie /etc/ssh/ssh_config so, dass Chiffren aes128-gcm@openssh.com und aes256-gcm@openssh.com enthalten sind.
1. Melden Sie sich bei der VM als Root an. Melden Sie sich für Avamar und Avamar Proxy zuerst als Administrator an und melden Sie sich dann mit su als root an.
2. Ändern Sie das Arbeitsverzeichnis in /etc/ssh.
cd /etc/ssh
3. Erstellen Sie eine Sicherungskopie der vorhandenen Datei /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Ändern Sie die /etc/ssh/ssh_config so, dass Chiffren aes128-gcm@openssh.com und aes256-gcm@openssh.com enthalten sind.
Von:
Abbildung 2: Die Standard-Verschlüsselungseinstellung in /etc/ssh/ssh_config
zu:
Abbildung 3: Neue Verschlüsselungseinstellung in /etc/ssh/ssh_config
Nach dem Update von /etc/ssh/ssh_config, um die Chiffren aes128-gcm@openssh.com und aes256-gcm@openssh.com einzuschließen, sollte die Meldung "keine übereinstimmende Verschlüsselung gefunden" behoben sein.
Für den Fall, dass ein Windows-basierter SSH-Client die Fehlermeldung "no matching cipher found" erhält:
Abbildung 4: Der Fehler "keine übereinstimmende Verschlüsselung gefunden" wurde in einem Windows-basierten SSH-Client
empfangen Die PuTTY-Version 0.81 wurde ohne dieses Problem getestet.
Abbildung 5: PuTTY 0.81 kann für den Zugriff auf den iDRAC von Windows aus verwendet werden.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。